一文读懂等级保护二级

什么是网络安全等级保护？

网络安全等级保护是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级进行响应、处置。

等级保护概念

根息系统应用业务重要程度及其安全需求，实行分级、分类、分阶段实护，保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点，保障重要信息资源和重要信息系统的安全。

等级保护制度的主要内容

信息安全等级保护是指：对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级进行管理和保护；对信息系统按业务安全应用域和区实行分级保护。
对系统中使用的信息安全产品实行按分级许可管理。
对等级系统的安全服务资质分级许可管理。
对信息系统中发生的信息安全事件分等级响应、处置。

为什么要做等级保护？

对信息安全分级保护是客观需求：信息系统的建立是为社会发展、社会生活的需要而设计、建立的，是社会构成、行政组织体系及其业务体系的反映，这种体系是分层次和级别的。因此，信息安全保护必须符合客观存在。

等级化保护是信息安全发展规律：按组织业务应用区域、分层、分类、分级进行保护和管理，分阶段推进等级保护制度建设，这是做好国家信息安全保护必须遵循的客观规律。
等级保护是我们国家的网络安全制度本国策，也套完整和完善的网络安全管理体系。遵循等级保关标准开始安全建设是目前企事业单位的普遍要求，也是国家关键信息基础措施保护的基本要求。

办理等级保护的原因：

1、通过等级保护工作发现单位信息系统存在的安全隐患和不足，进行安全整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险，维护单位良好的形象。

2、等级保护是我国关于信息安全的基本政策，国家法律法规、相关政策制度要求单位开展等级保护工作。如《网络安全等级保护管理办法》和《中华人民共和国网络安全法》。

3、很多行业主管单位要求行业客户开展等级保护工作，目前已经下发行业要求文件的有：金融、电力、广电、医疗、教育等行业等。

4、落实个人及单位的网络安全保护义务，合理规避风险。

概念
信息系统根据其在国家安全、经济建设、社会中的重要程度，破坏后对国家安全、社会秩序、利益及公民、法人和其他组织的合法利益的危害程度，由低到高划分为五个等级。分别是:
第一级:用户自主保护级
第二级:系统审计保护级
第三级:安全标记保护级
第四级:结构化保护级
第五级:访问验证保护级
不同级别的信息系统应该落实不同强度的安全要求，为了规范安全要求的落实标准，全国信息安全标准化技术委员制定了《信息系统安全等级保护基本要求》这个标准，该标准对不同级别的信息系统应该落实的安全要求项进行了明确而具体的规定，将其分为管理要求和技术要求总共十个类别，分别是:
技术要求:
1、物理安全
2、主机安全
3、应用安全
4、网络安全
5、数据安全及备份恢复
管理要求:
1、安全管理制度
2、安全管理机构
3、人员安全管理
4、系统建设管理
5、系统运维管理
二、政策法规
中华人民共和国计算机信息系统安全保护条例
计算机信息系统保护等级划分准则
国家信息化领导小组关于加强信息安全保障工作的意见
关于加强信息安全等级保护工作的实施意见
信息安全等级保护管理办法
关于开展全国重要信息系统安全等级保护定级工作的通知
关于开展信息安全等级保护安全建设整改工作的指导意见
三、标准规范
计算机信息系统安全等级保护划分准则（基础类标准）
信息系统安全等级保护实施指南（基础类标准）
信息系统安全等级保护定级指南（应用类标准）
信息系统安全等级保护基本要求（应用类建设标准）
信息系统通用安全技术要求（应用类建设标准）
信息系统等级保护安全设计技术要求（应用类建设标准）
信息系统安全等级保护测评要求（应用类测评标准）
信息系统安全等级保护测评过程指南（应用类测评标准）
信息系统安全管理要求（应用类管理标准）
信息系统安全工程管理要求（应用类管理标准）
四、工作流程
等级保护工作不是一件事，而是由五件事组成的一个完整工作流程。通常所说的等级保护工作指的是等级保护测评这项工作流程。根据信息系统等级保护相关标准，等级保护工作总共分五个阶段，分别为：
1、定级
信息系统运营使用单位按照等级保护管理办法和定级指南，自主确定信息系统的安全保护等级。有上级主管部门的，应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。虽然是自主定级，但是也得根据系统实际情况去定级，有行业指导文件的根据指导文件来，没有文件的根据定级指南来，总之一句话合理定级。
二是备案。第二级以上信息系统定级单位到所在地所在地设区的市级以上公安机关办理备案手续。省级单位到省公安厅网安总队备案，各地市单位一般直接到市级网安支队备案，也有部分地市区县单位的定级备案资料是先交到区县公安网监大队的，具体根据各地市要求来。
三是系统安全建设。信息系统安全保护等级确定后，运营使用单位按照管理规范和技术标准，选择管理办法要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组织，制定并落实安全管理制度。
四是等级测评。信息系统建设完成后，运营使用单位选择符合管理办法要求的检测机构，对信息系统安全等级状况开展等级测评。
五是监督检查。公安机关依据信息安全等级保护管理规范，监督检查运营使用单位开展等级保护工作，定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关材料。
其中定级、备案工作原则上是由用户单位自己填写定级备案表交给公安网监部门去进行备案工作，但考虑到实际情况，绝大多数情况下都是用户单位在测评机构的协助下完成这些工作。系统安全建设和等级测评的工作不一定要严格按照这个顺序开展，可以先测评再整改，也可以先建设再测评。具体还是根据自身实际情况来办。注意了：选择一家有实力的测评机构很重要，测的好坏关系到单位信息系统后期整改内容，问题发现多了提前发现了并整改了，可以有效降低被攻击的风险，提高信息安全防护能力。
所以等级保护工作是以上一个全流程，而不只是测评工作，测评的目的是发现问题，更重要的是我们在发现问题之后去持续的解决问题，完善我们的信息安全建设工作，保障应用的正常服务以及数据的安全。 信息等级保护简称。
在我国等保分为五个等级，一贯坚主定级主保护的原则。
信息系统的安全保护等级分为以下五级，一至五级等级逐级增高：
第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
为何要做等保：

随着我国信息技术的快速发展，为维护国家安全和社会稳定，维护信息网络安全，国务院于1994年颁布了《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）。条例中规定：我国的“计算机信息系统实行安全等级保护。
哪些行业需要做等保测评：
政府机关：各大部委、各省级政府机关、各地市级政府机关、各事业单位等；
金融行业：金融监管机构、各大银行、证券、保险公司等；
电信行业：各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等；
能源行业：电力公司、石油公司、烟草公司；
企业单位：大中型企业、央企、上市公司等；
其它有信息系统定级需求的行业与单位。 等级保护概念

根据信息应用业要程度及其实际需求，实行分级、分类、分阶段实护，保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点，保障重要信息资源和重要信息系统的安全。